浅谈企业信息安全风险与预控措施

浅谈企业信息安全风险与预控措施

[摘要]信息化在提高企业办公效率的同时，也对企业信息安全造成了威胁。信息化环境下，企业信息系统面临着来自信息网络、信息系统、机房环境和终端应用等四个方面的安全隐患，形势严峻。企业信息安全隐患的防范是一个全方位的工作，需要运用技术、管理和宣传等措施，建立一个综合性的防御安全体系，最大限度地降低企业信息有可能遭受的安全隐患。

【关键字】信息安全；风险预控措施；企业信息系统

进入二十一世纪的今天，随着社会、经济和科学技术的飞速发展，信息化技术在经济和生活的各个领域迅速普及。众多企业为了提高办事效率和市场反应能力，也都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。在信息化环境下，企业获得信息共享、信息交流、信息服务，改善了企业管理水平、提高了劳动生产率、增强企业核心竞争力。然而，信息化是把双刃剑，在带给企业机遇与便利的同时，信息环境固有的开放性、共享性、交互性和分散性，也造成了企业信息系统具有致命的脆弱性、易受攻击性。一旦企业信息系统遭到攻击，企业信息泄露，甚至被人篡改，就会给企业带来不可估量的损失。因而，研究与防范信息安全问题，对企业来说是重要的、紧迫的。本文分析了信息化环境下企业信息安全容易发生的安全隐患，有针对性地提出了预控措施及实施细则，以期能够帮助企业在满足信息利用要求的基础上，最大限度地保障企业信息安全。

一、企业信息安全风险

信息化环境下对企业信息系统安全造成威胁的因素有很多，可能是有意的攻击，也可能是无意的误操作；可能是内部的破坏，也可能是外来攻击者对信息系统资源的非法使用，归结起来，企业信息可能面临四大方面的安全风险。

（一）网络安全风险

1、网络信息遭受黑客窃听、盗取、篡改等恶意攻击事件。

2、网络设备发生故障、断电、配置错误等问题。

3、租用的电信运营商通道发生设备、通道故障，加密措施失效或遗失、遗漏重要业务信息。

4、企业各单位VLAN失效或混乱，非授权用户可以侵入重要部门VLAN 区域。

5、网络设备登录密码遭到窃取、篡改，或被植入网络病毒、木马等恶意程序。

6、网络系统重要数据丢失。

（二）信息安全风险

1、因服务器、系统自身漏洞，造成服务器或系统遭到恶意侵入或攻击。

2、未按规定安装桌面终端管理软件及正版防病毒软件，造成企业网络内部病毒、木马破坏及内外网混用。

3、服务器、操作系统、应用系统由于密码设置问题，造成管理权限、业务数据遭到窃取、篡改、泄露、遗失。

4、信息系统重要数据丢失。

（三）机房环境风险

1、机房内重要设备电源失电或当市电断电的情况下，UPS电源未能及时切换或UPS电源供电时间不足。

2、机房空调故障，造成机房温度过高，导致设备停机。

3、机房发生火灾隐患时，未能及时报警并进行灭火措施。

4、因机房监管问题，造成机房重要设备或信息遗失、泄露。

5、因未对机房各类风险隐患进行定期巡视排查，造成机房安全事件的发生。

（四）终端应用风险

1、信息网络管理人员、信息系统应用信息安全意识或常识不足，造成设备或系统发生信息安全事件。

2、信息安全相关管理机制未能执行，致使信息安全措施未能彻底落实。

3、当进行基础施工或发生信息网络故障时，未能提前或及时通知企业信息网络管理人员，造成信息网络故障或扩大信息网络事件范围。

二、企业信息安全风险预控基本原则与防控计划

以上所列出的是目前比较常见的企业信息安全隐患，事实上，现实中企业所面临的安全问题形势是更加复杂且严峻的。因此，要做好企业信息安全风险预控，必须建立起适用于企业的信息安全风险预控基本原则和防控计划，才能从根本上发挥信息安全风险预防的作用及信息安全事件发生时控制的能力。

（一）基本原则

1、坚持“安全第一，预防为主、综合治理”的原则。加强网络与信息系统安全管理，有效地预防和减少网络与信息系统安全事故的发生，保障网络与信息安全稳定运行。

2、坚持统一指挥，分级负责的原则。网络与信息系统安全六级以下事件在企业应急指挥机构的统一指挥和协调下，组织开展事故处理、事故抢险、应急救援等各项工作。

3、坚持保证重点，有效组织，及时响应的原则。对网络与信息系统要加大监控和应急工作力度，有效组织和发挥各应急队伍和应急资源的作用，确保信息及时准确传递，有效控制损失。做到保证重点系统、设备快速恢复运行，应对事故反应迅速。

4、发挥技术支撑、机制保障作用，不断完善预防与抢险相结合的原则。在充分利用企业现有资源、系统和设备的基础上，采用先进适用的预测、预防、预警和应急处置技术，改进和完善应急处理装备、设施和手段，提高应对信息系统设备故障造成突发事件的技术支撑能力。

（二）防控计划

1、加强对核心网络设备、汇聚设备和重要服务器的软、硬件升级改造和备份，确保企业骨干网络具有双机、双通道热备的能力。

2、加快对基层单位、变电站、供电所网络设备的升级改造，对现有网络通道进行升级和扩容，建成以企业光环网为主、电信租赁通道为辅的企业城域网，提升各基层单位、变电站、供电所的接入速度和数据安全。

3、加强对企业所属各信息系统的管理，根据信息监控系统提供的数据，对亟待完善的信息安全问题进行有计划、有针对性的整改，不断完善企业整体信息安全防御水平。

4、加强对企业各机房、专用机柜的环境改造。确保重要设备的市电+UPS 双电源接入、温度湿度调节及防火、防雷、防水、防小动物的安防措施。

三、企业信息安全风险防控措施

在建立长期、有效的信息安全风险预控基本原则和防控计划的基础上，企业信息管理人员必须时刻保持警觉，不断增强防范意识，采取切实有效的防范措施和实施细则，把有关影响信息安全的各个方面结合起来，相互弥补，不断完善，才能编织一张坚固的信息安全大网。

1、完善责权划分，加强信息安全监管。2.进一步提升人员的信息安全素质。